Neues forensisches Werkzeug wird Daten aus dem RAM von Smartphones wiederherstellen, verschlüsselt oder nicht

Verschlüsselung oder nicht, Ihre Smartphone-Daten werden jetzt mit diesem forensischen Werkzeug leicht wiederhergestellt

Wenn Sie sich an den Aufruhr erinnern, der entstand, als das FBI Apple bat, ein gesperrtes iPhone 5c eines Terroristen zu entsperren. Die Nachrichten erzeugten einen solchen Hype und Meinungen, dass sie fast eine Woche lang die weltweiten Technologieneuigkeiten dominierten, bevor das FBI stillschweigend eine israelische Firma beauftragte, das iPhone des Terroristen zu entsperren.

Jetzt muss das FBI oder eine andere Strafverfolgungsbehörde nicht mehr irgendwohin gehen, um Daten von gesperrten oder verschlüsselten Smartphones wiederherzustellen, da Forscher ein neues forensisches Werkzeug entwickelt haben, das Daten aus dem RAM von Smartphones wiederherstellt, das Retroscope genannt wird.

Die Forscher der Purdue University haben ein neues Werkzeug entwickelt, um Informationen aus dem flüchtigen Speicher von Smartphones wiederherzustellen, das Ermittlern wichtige Hinweise zur Lösung von Kriminalfällen geben könnte. Anstatt zu versuchen, die Festplatte des verschlüsselten Smartphones zu entsperren, die Informationen speichert, nachdem das Telefon ausgeschaltet wurde, dachten die Forscher stattdessen daran, in den flüchtigen RAM einzutauchen. Es wird allgemein angenommen, dass der Inhalt des RAM (Random Access Memory) verschwunden ist, sobald das Smartphone ausgeschaltet wird, aber die Forscher fanden heraus, dass sie eine überraschende Menge an Daten aus dem RAM wiederherstellen konnten, selbst wenn es ausgeschaltet war. Die frühen Forschungen des Teams führten zu Arbeiten, die den letzten Bildschirm wiederherstellen konnten, der von einer Android-Anwendung angezeigt wurde.

„Wir argumentieren, dass dies die Grenze in der Cyberkriminalitätsuntersuchung darstellt, da der flüchtige Speicher die frischesten Informationen aus der Ausführung aller Apps enthält“, sagte der leitende Forscher Dongyan Xu. „Ermittler können zeitnähere forensische Informationen zur Lösung eines Verbrechens oder eines Angriffs erhalten“, bemerkte Xu.

Aufbauend auf ihrer Forschung sagte Xu, dass entdeckt wurde, dass Apps eine Menge Daten im flüchtigen Speicher hinterließen, lange nachdem diese Daten angezeigt wurden. RetroScope nutzt das gängige Rendering-Framework, das von Android verwendet wird, um einen Neuzeichnungsbefehl auszugeben und so viele vorherige Bildschirme wie möglich im flüchtigen Speicher für jede Android-App zu erhalten.

Was für die Strafverfolgungsbehörden noch wichtiger ist, ist, dass Retroscope keine vorherigen Informationen über die internen Daten einer App benötigt. Die wiederhergestellten Bildschirme, beginnend mit dem letzten Bildschirm, den die App angezeigt hat, werden in der Reihenfolge präsentiert, in der sie zuvor gesehen wurden. „Alles, was zum Zeitpunkt der Nutzung auf dem Bildschirm angezeigt wurde, wird durch die wiederhergestellten Bildschirme angezeigt und bietet den Ermittlern eine Fülle von Informationen“, sagte Xu.

Während der Tests konnte RetroScope zwischen drei und 11 vorherige Bildschirme in 15 verschiedenen Apps wiederherstellen, im Durchschnitt fünf Seiten pro App. Die Ergebnisse wurden während des USENIX Security Symposium in Austin, Texas, präsentiert. „Wir sind uns ohne Übertreibung sicher, dass diese Technologie wirklich ein neues Paradigma in der Smartphone-Forensik darstellt“, sagte er.

„Es ist sehr unterschiedlich von allen bestehenden Methoden zur Analyse sowohl von Festplatten als auch von flüchtigen Speichern“, bemerkte Xu.